Актуальность и важность проблемы обеспечения безопасности компьютерных сетей

Обновлено: 06.07.2024

Информационные технологии охватывают методы сбора, обработки, преобразования, хранения и распределения информации. На протяжении довольно длительного периода времени эти технологии развивались на языковой и "бумажной" буквенно-цифровой основе. В настоящее время информационно-деловая активность человечества смещается в область кибернетического пространства. Это пространство становится реальностью мирового сообщества и определяет переход к "безбумажному, электронному" развитию информационных технологий. Электронный обмен информацией дешевле, быстрее и надежнее "бумажного". Например, стоимость доставки письма из Калифорнии в Нью-Йорк традиционной почтой составляет 29 центов США (время доставки 2-3 дня), тогда как плата за факс - 1,86 доллара, за телекс - 4,56 доллара США. И наконец, стоимость доставки документа по E-mail – стремится к нулю (при стремительном снижении тарифов на доступ к всемирной сети и увеличении пропускной способности таких каналов связи), причем время пересылки исчисляется секундами. На данный момент повсеместно осуществляется информационная "безбумажная" революция. Благодаря выходу в кибернетическое пространство, рост информационного обмена происходит по экспоненциальному закону.

Информационные процессы, происходящие повсеместно в мире, выдвигают на первый план, наряду с задачами эффективного обработки и передача информации, важнейшую задачу обеспечения безопасности информации. Это объясняется особой значимости для развития государства его информационных ресурсов, ростом стоимости информации в условиях рынка, ее высокой уязвимостью и нередко значительным ущербом в результате ее несанкционированного использования.

Для многих современных и технологически развитых стран мира нарушения безопасности в системах передачи и обработки информации приносят большие потери. Особенно значительные потери несут системы телекоммуникаций, обслуживающие банковские и торговые учреждения. Например, в США убытки от несанкционированного проникновения в эти системы и последующей утечки информации оцениваются в десятки миллионов долларов.

О степени опасности для общества электронных преступлений можно судить по тем расходам на средства защиты, которые считаются допустимыми и целесообразными. По оценкам специалистов по безопасности электронного документооборота США, общие затраты на защиту банковских или других финансовых учреждений могут составить всего около 510 тысяч долларов. Однако, считающаяся надежной система защиты крупного финансового учреждения, которое обслуживает до 80000 клиентов, стоит не менее 15 миллионов долларов, причем в эту не маленькую сумму входят только стоимости аппаратных и программных средств (без учёта оплаты труда наёмного штата собственных сотрудников безопасности компании).

Последствия от несанкционированного получения информации имеют самый разнообразный масштаб: от безобидных проказ до финансовых потерь в больших размерах и банкротств компаний.

Самыми уязвимыми объектами, подверженными опасности несанкционированного доступа к данным, являются системы автоматизированного перечисления средств. В последнее время также резко участились случаи хищения программ в компьютерных сетях. Эти хищения приняли характер эпидемии: каждая единица легальной копии программы, имеющей сколько-нибудь обширное распространение, существуют несколько (число может варьироваться от единиц до сотен) копий, полученных незаконным путем.

Поскольку основной информационный обмен основан на информационной технологии, то важным условием становится безопасность в компьютерных сетях. Нарушение этой безопасности называют компьютерным преступлением.

Угрозы в сети делятся на пассивные и активные. К пассивным угрозам относятся подслушивание (считывание) информации и анализ трафика (идентификация пользователей и определения интенсивности информационного обмена). К активным же угрозам относится модификация данных, создание фальшивых данных, введение вирусов и программных закладок, блокирование доступа к ресурсам сети.

Актуальность и важность проблемы обеспечения безопасности информационных технологий обусловлены следующими причинами:

· резкое увеличение вычислительной мощности современных компьютеров при одновременном упрощении их эксплуатации;

· резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;

· сосредоточение в единых базах данных информации различного назначения и различной принадлежности;

· высокие темпы роста парка персональных компьютеров, находящихся в эксплуатации в самых разных сферах деятельности;

· резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;

· бурное развитие программных средств, не удовлетворяющих даже минимальным требованиям безопасности;

· повсеместное распространение сетевых технологий и объединение локальных сетей в глобальные;

· развитие глобальной сети Internet, практически не препятствующей нарушению безопасности систем обработки информации во всем мире.

Особенно остро потребность в средствах защиты ощущается в многопользовательских системах, таких, как системы с разделением времени, а также системы, к которым можно получить доступ по обычным телефонным линиям связи или открытым компьютерным сетям. Поэтому для описания совокупности методов и средств, предназначенных для защиты данных и противодействию хакерам, стал применяться термин компьютерная безопасность.

Второе крупное изменение, повлиявшее на формирование нового подхода к вопросу о безопасности, произошло в результате появления распределенных систем обработки данных и использования сетей и коммуникационного оборудования для обмена данными между пользователями терминалов и центральными компьютерами. В этой связи возникла потребность в защите сети, по которой передаются данные. Термин сетевая безопасность подразумевает не одну, отдельно взятую локальную сеть, а некоторую совокупность сетей предприятий, правительственных учреждений, учебных заведений и т. п., связанных между собой в объединенную сеть обработки данных.

Проблема обеспечения информационной безопасности требует системного подхода и нужно использовать разные средства и приемы морально-этические, законодательные, административные и технические. Технические средства реализуются программным и аппаратным обеспечением и решают разные задачи по защите. Они могут быть встроены в операционные системы, либо могут быть реализованы в виде отдельных продуктов. В силу важности функций, которые выполняются ОС и их критичности для работоспособности всей вычислительной системы, наибольшее внимание уделяется защищенности операционных систем.

Основные понятия информационной безопасности

Важный принцип информационной безопасности ¾ отделение политики обеспечения безопасности от механизмов ее обеспечения. Механизмы определяют то, как что-то может быть сделано, тогда, как политика решает, что должно быть сделано. Отделение политики от механизмов важно для гибкости системы. Политика в отношении ресурсов может меняться в зависимости от приложения, места и времени. По этой причине защита не может быть исключительно предметом дизайна ОС. Она также должна давать инструменты прикладным программистам для создания и поддержки защищенных ресурсов. Желательно по возможности наличие общих механизмов, тогда как изменение политики требует лишь модификации системных параметров или таблиц.

Реализация системы защиты в полном объёме задача очень трудоемкая и дорогостоящая. Поэтому при разработке таких систем, во-первых, необходимо выделить наиболее важные компоненты, которые требуется защитить, а, во-вторых, в зависимости от вида защищаемой информации и причин, угрожающих её целостности, выбрать различные модели и методы её защиты. В зависимости от вида защищаемой информации и от причин, угрожающих её целостности, необходимо выбирать и различные методы её защиты.

В качестве объектов защиты информации в системах обработки данных можно выделить следующие:

· терминалы пользователей (персональные компьютеры, рабочие станции сети);

· терминал администратора сети или групповой абонентский узел;

· средства отображения информации;

· средства документирования информации;

· компьютерный зал и хранилище носителей информации;

· внешние каналы связи и сетевое оборудование;

· накопители и носители информации.

В качестве элементов защиты выступают блоки (порции, массивы, потоки и др.) информации в объектах защиты в частности:

· данные и программы в основной памяти компьютера;

· данные и программы на внешних устройствах;

· данные, отображаемые на экране монитора;

· данные, выводимые на принтер при автономном и сетевом использовании ПК;

· пакеты данных, передаваемые по каналам связи;

· данные, размножаемые (тиражируемые) с помощью копировально-множительного оборудования;

· отходы обработки информации в виде бумажных и магнитных носителей;

· служебные инструкции по работе с комплексами задач;

· архивы данных и программного обеспечения и др.

Безопасная система обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность (confidentiality) уверенность в том, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).

Доступность (availability) гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность (integrity) уверенность в том, что данные сохраняют правильные значения. Это требует средств проверки целостности и обеспечивается запретом для неавторизованных пользователей, каким либо образом модифицировать данные.

Любое действие, которое направлено на нарушение конфиденциальности, целостности и доступности информации называется угрозой. Реализованная угроза называется атакой.

Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Шевко Н. Р.

В статье рассматриваются вопросы защиты информационных ресурсов современного общества, а также информационных систем. Раскрыто понятие информационной безопасности, защиты информации, а также виды и методы реализации угроз информационной безопасности, некоторые способы защиты информационных ресурсов.

Текст научной работы на тему «Актуальные проблемы обеспечения информационной безопасности современного общества»

кандидат экономических наук (КЮИ МВД России)

АКТУАЛЬНЫЕ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОВРЕМЕННОГО ОБЩЕСТВА

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина:

• на доступ к информации,

• на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития,

• в защите информации,

обеспечивающей личную безопасность.

Интересы общества в

информационной сфере заключаются:

• в обеспечении интересов личности в этой сфере,

• создании правового социального государства,

• достижении и поддержании общественного согласия.

Интересы государства в

информационной сфере заключаются:

• в создании условий для

гармоничного развития российской

• в реализации конституционных

прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной

• в безусловном обеспечении законности и правопорядка,

• в развитии равноправного и

На основе национальных интересов Российской Федерации в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере. Одна из них включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. Информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Таким образом, под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать:

- целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;

- конфиденциальность информации и одновременно ее доступность для всех авторизованных пользователей.

Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности - это оборотная сторона использования информационных технологий.

Значение защиты информации в современном информационном обществе трудно переоценить. Новая информационная инфраструктура создает новые опасности для информации.

Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:

Российские правовые акты в большинстве своем имеют ограничительную направленность. Сами по себе лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушение ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать не приходится. Одной из мер обеспечения информационной безопасности является криптография.

Все, что связано с криптографией, сложно не столько с технической, сколько с юридической точки зрения. Данный сервис является инфраструктурным, его реализации должны присутствовать на всех аппаратно-программных платформах и удовлетворять жестким требованиям не только к безопасности, но и к производительности. Пока же единственным доступным выходом является применение свободно распространяемого программного обеспечения.

Надежный контроль целостности также базируется на криптографических методах с аналогичными проблемами и методами их решения. Анализ защищенности - это инструмент поддержки безопасности жизненного цикла. С активным аудитом его роднит необходимость практически непрерывного обновления базы знаний и роль не самого надежного, но необходимого защитного рубежа, на котором можно расположить свободно распространяемый продукт.

Президентом РФ определены меры по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена [2].

Установлено, что подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную

Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем в соответствии с характером и важностью решаемых ими задач.

1. Доктрина информационной безопасности РФ: утв. Президентом РФ 09.09.2000 № Пр-1895// СПС КонсультантПлюс.

2. О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена: указ Президента РФ от 17.03.2008 № 351 // СПС КонсультантПлюс.

3. Лимонов И.А. На пути к информационному бизнесу в России // Инновации для малого и среднего бизнеса: Сб. ст. - Владимир: Собор, 2008. - С. 59-63.

Данная статья является продолжение того пути, который я начал в далёком 2012 году, поступив на специальность, связанную с обеспечением компьютерной безопасности в различных областях. К сожалению, университет так и остался университетом…

Предисловие

Большая часть моей учебной деятельности была так или иначе связана с безопасностью. И именно желание понять то как защитить эту информацию послужило причиной по которой я поступил на свою специальность. Время шло, дисциплины пролетали за дисциплиной, а знания так и оставались где-то в облаках. Я понимал, что настанет время и мне придется заниматься тем на кого я учусь и порой мне становилось стыдно от того какие я знания получаю, вернее “незнания”. Возможно именно тогда и появилось внутри желание получать эти знания так, как я это делаю сейчас.
Я хочу быть если не высококвалифицированным специалистом в своей области, но хотя бы “не падать каждый раз в грязь лицом”, когда речь заходит о моей профессиональной области и я не могу поддерживать в ней разговор, не говоря уже о комплексной защите и понимании того, как следует всё реализовать.
К сожалению, речь здесь не только о безопасности, другие области, которые мне интересны и в которых я не особо силён, здесь также будут затронуты. Я верю, что данный формат должен помочь как мне, так и другим людям, которые когда-нибудь прочтут данные материалы.

Первые темы будут не самыми интересными, однако, это необходимая база, которую необходимо знать и грамотно изъясняться в профессиональной области. В самом начале статьи будет список вопросов с навигацией и далее по каждому из вопросов будет дан развёрнутый ответ. Количество вопросов в каждой статье может варьироваться и обычно составляет 5-10. Статья может быть разбита на несколько частей, но это зависит от материала, который я буду использовать.

Всё остальное будет раскрываться непосредственно из статьи и если что-то новое будет происходить, то вы это поймете, читая заметки или какой-либо другой материал. На этом всё, пора переходить к вопросам. А их в нашей первой статье аж 8!

Навигация по статье:

1. Место и роль автоматизированных систем в управлении бизнес-процессами

Безопасность такое понятие, которое редко затрагивает одного человека и касается только одного человека. Лишь малая часть населения понимает, что это такое и вообще для чего безопасность нужна, а уж как образом она достигается знают наверное единицы (в общем проценте от населения планеты). Мы вспоминаем о безопасности наших данных только тогда как где-нибудь в мире или нашей стране происходит утечка информации, персональных данных, коммерческой или гос. тайны. Вот вам недавний пример, который произошел по непонятно чьей вине, таких примеров вагон и маленькая тележка. Однако, не все данные события освещаются его величеством Интернетом, многие происходят на уровне небольших организаций, которые незамедлительно стараются такие события прикрыть чтобы о них никто не узнал.

Так вот, как упомянулось выше, организация безопасности не направлена на какого-то конкретного человека, она касается целой области не только людей и их данных, но и целых процессов, которые управляют всем бизнесом организации. При этом вся организация управлением безопасности также ложится не на хрупкие плечи человека, а уже на целую систему, которая непосредственно сначала создается, а затем управляется людьми.

Компьютерные технологии лишь дают возможность произвести автоматизацию процессов управления и не более. Это позволяет сэкономить многие ресурсы, а самый главный человеческий ресурс - время. С учётом повышения объема поступающих сведений, необходимо повышать качество и эффективность управления всей системы в целом.

Из-за широкого применения автоматизированных систем в организациях, требования к защите систем, использующихся в управлении бизнес-процессами, многократно увеличиваются, а каждая неполадка может вылиться организации в крупные финансовые потери, и это только в лучшем случае.

Первое, что следует понимать, это то, что любая автоматизированная информационная система (АИС) является частью автоматизированной системы управления (АСУ). Это значит, что в АСУ может быть несколько АИС и каждая из них занимается разными вещами.

Любое действие с информацией, которое приводит к нарушению безопасности (искажение, разглашение, уничтожение и т.д. и т.п.), может нанести как материальный, так и моральный вред многим субъектам, которые имеют отношение к данной информации.

При этом, каждую автоматизированную систему приходится настраивать таким образом, чтобы определенная часть информации была бы легко доступна всем кто в этом нуждается, и в то же время надежна защищена, а действия самой системы не приводили к нарушению безопасности.

2. Факторы, которые определяют актуальность проблемы защиты автоматизированных систем в современных условиях

Порой некоторые моменты моей учёбы проходили настолько скучно, что хотелось просто сбежать с пар. Теперь я понимаю что - нежелание воспринимать некоторую скучную и неинтересную информацию. Так случилось и здесь, есть вопросы, которые наводят скуку и которые не очень и хочется рассказывать, однако, эти вопросы позволяют глубже разобраться в причине того почему всё так происходит. Данные вещи я буду стараться описывать максимально сжато и так как их вижу лично я.

Увеличение области использования компьютерной техники. Наверное нет ни одной организации, в которой бы не было ПК, а чем большое количество техники используется в организации, тем больше потребности возникает как у самой организации, так и у людей.
Увеличение числа электронных носителей информации, а как следствие, хранение на данных носителях большого количества информации.
Повышение доверия со стороны людей к автоматизированным системам управления, что может привести к тому, что эти системы управления могут быть задействованы в критически важных областях, в которых важно именно воздействие человека, а не машины.
Развитие многообразных видов угроз, а также возникновение новых способов несанкционированного доступа к информации. В сочетании с большим количеством носителей, данный фактор является особо важным.
Повышение уровня образованности и квалифицированности людей, “благодаря” которым и возникают всеразличные угрозы и способы дестабилизирующие автоматизированные системы.

3. Причины обострения проблемы обеспечения информационной безопасности

Возрастание уровня доверия к АСУ - одна из самых главных причин. Главное заблуждение людей, они думают, что машины могут сделать всё за них и им не придется ни в чём разбираться. К сожалению, такая схема автоматически обречена на провал.
Бурное развитие информационно-телекоммуникационных сетей (вот тут вы можете почитать интересную статистику по Интернету в России и в мире).
Развитие компьютерной грамотности во всех слоях населения. Первая часть населения развивает и применяет различные виды угроз (это профессионалы в своей деятельности), вторая часть, просто за счёт того, что они “якобы” всё знают, начинают применять свои знания не там где это необходимо, тем самым, открывая лазейки злоумышленникам.
Отсутствие нормального законодательно-правового регулирования отношений, возникающих в условиях возникновения “компьютерных преступлений”.

4. Причины по которым проблема обеспечения безопасности автоматизированных систем относится к числу трудноразрешимых

Непонимание того, что необходимо защищать АС, которой пользуется организация. Организация считает, что их информация никому не нужна, либо, что их система надёжна защищена.
Неопределенные риски при использовании новых АС. Связано это с неизвестностью того какие угрозы могут оказывать своё влияние на новую АС.
Необходимость использовать комплексный подход в защите АС. В большинстве случае защищается отдельная часть АС, либо применяется только одна из мер по защите АС, что является неправильным подход и влечёт лишь пустые расходы в защите АС.
Неравные возможности средств и методов защиты и нападения. При защите АС всегда следует понимать, что в большинстве случае злоумышленник имеет больше возможности в нападении, чем мы в защите.
Как следствие из предыдущего пункта, недостаточное количество специалистов компьютерной безопасности, и в целом низким количеством людей, котороые осведомлены в вопросах безопасности информационных технологий.

5. Риск информационной безопасности. Составляющие риска

Все предыдущие выкладки были сделаны для того, чтобы дать чёткое представление о том, что невозможно создать абсолютно непреодолимую систему защиты информации. Это всегда стоит помнить в первую очередь и как специалисту по безопасности каждый раз напоминать своему руководству об этом. Нет единой концепции защиты информации, есть отдельные АС, есть то из чего они состоят, есть возможность использовать продукты, которые помогут снизить вероятность успешной реализации угрозы на отдельные объекты, составляющие данную АС.

Специалисту по безопасности часто приходится оперировать различными понятиями, определениями, поэтому необходимо грамотно представлять что это такое, когда о них заходит речь. Так вот и мы, постепенно будем себя приучать к ним.

Определения

Угроза - потенциально возможное событие, вызванное действием, процессом или явлением, которое может привести к нанесению ущерба чьим-либо интересам.
Риск - оценка опасности определенной угрозы.

вероятность успешной реализации угрозы - всегда измеряется от 0 (провал) до 1 (успех)
стоимость потерь, либо по иному ущерба, от реализации угрозы - выражается вероятнее всего в денежном эквиваленте

Как видно из определения, в формулировке риска участвует всего лишь две составляющие, они же участвуют при расчете суммарной стоимостной оценки информационной безопасности организации. Нетрудно догадаться, что здесь будут участвовать все возможные риски, которые специалист по защите информации примет в расчет. И выражать он будет лишь количественную сторону риска, а он как мы уже убедились состоит еще и из качественной составляющей, выражающейся вероятностью.

Итак, стоимостная составляющая информационной безопасности расчитывается по формуле:

n - количество всех принятых во внимание рисков
A - вероятностная оценка риска.
В - стоимостная оценка риска.
С - стоимость реализации мер защиты.
R_max - допустимые издержки.

6. Анализ рисков и управление ими. Этапы анализа и управления

Риски позволяют на ранней стадии выявить необходимость в применении дополнительных мер по обеспечению безопасности АС. Однако, для того чтобы такая схема работала, следует чётко представлять состав АС организации, тем более если это новая внедренная АС.

Как мы уже выяснили ранее, риск не может быть один, даже если брать отдельный компонент АС, то на него может быть направлено более одной угрозы. Для того чтобы оценить опасность каждой угрозы используется такое понятие как анализ рисков.

Определение

Анализ рисков - выявление существующих угроз и оценка их опасности.

Во время проведения анализа рисков специалист по защите информации выявляет все значимые угрозы, т.е. это такие угрозы, у которых высокая вероятность реализации и/или приводящие к значительным потерям.

Из анализа рисков вытекает главное направление управления рисками. Управление рисками представляет собой суть защиты ресурсов автономной системы.

Как уже упоминалось в предыдущем вопросе, риск можно анализировать двумя способами: качественно и количественно.

Трудность в оценке ущерба нематериальных активов. Как правильно оценить информацию? Сколько стоит идея руководства? Почему идея руководящего состава может быть дороже моей идеи и наоборот? По чём сегодня конфиденциальность? А завтра она может быть дороже или дешевле? И таких вопросов не одна дюжина.

Сложность оценки косвенных потерь от реализации угрозы. В зависимости от способа реализации угрозы потери могут проявиться как в различных областях АС, так и просто в инфраструктуре организации не связанной с АС. Ранее мы видели, что на отдельный компонент АС может быть направлено различное количество угроз. Следовательно, риск не учесть какую-либо угрозу велик, поэтому к определению угроз необходимо подходить грамотно, так как от этого зависит дальнейший расчет как оценки опасности реализации угрозы, так и возможный ущерб от реализации угрозы.

В виду сложности реализации количественного подхода, в настоящее время используется именно качественный подход при анализе рисков. Он предполагает простое разграничение рисков по степени их опасности.

Определение

Управление рисками - принятие мер защиты, направленных на снижение частоты успешной реализации угроз.

Определение границы автоматизируемой системы, а также методологии (количественный или качественный подход) оценки существующих рисков.
Идентификация и оценка информационных ресурсов автоматизированной системы.
Идентификация угроз и оценка вероятностей их реализации.
Определение риска и выбор средств защиты.
Внедрение средств защиты и оценка остаточного риска.

7. Требования к методам оценки целесообразности затрат на обеспечение безопасности автоматизированных систем

Так как практическая оценка рисков в большинстве случаев производится качественным способом, то оценку затрат необходимо производить количественным способом, при этом опираясь на качественные показатели оценки вероятности событий.

Вы как представитель безопасности должны максимально прозрачно определять все расходы, используемые в вашем методе оценке затрат, для того чтобы не только вы имели представление о том какие механизмы будут использоваться в защите, а также сколько они стоят и какой будут иметь эффект в будущем, но и например ваше руководство. Это необходимо для того, чтобы в дальнейшем к вам было меньше вопросов по поводу последствий, которые могут произойти в виду двух вещей: вашей некомпетентности как специалиста, либо отсутствия мозгов у руководства, которое не выделило необходимые средства на обеспечение должного уровня защиты данных в организации.

8. Категории затрат, связанных с безопасностью автоматизированных систем

Мы выяснили, что необходимо соблюдать определенные требования при формировании защиты в организации, так как неопределенные расходы могут вызвать вопросы у руководства. В конце первой статьи давайте рассмотрим какие категории затрат выделяются при формировании первоначального проекта обеспечения безопасности в организации. В конце данного вопроса вы сами убедитесь в том, что обеспечение информационной безопасности очень и очень дорогостоящее мероприятие, если это так можно назвать. При этом неправильный выбор того, что необходимо сделать в каждой категории может повлечь как неудобство в дальнейшей работе, так и колоссальные расходы.

Итак, на картинке выше представлены все возможные категории затрат, которые следует учитывать при построении определенной защиты автоматизированной системы в организации. В настоящий момент расписывать каждый пункт в возможной категории не имеет смысла, так как они могут меняться в зависимости от появления новых угроз, да и при желании по каждой категории можно самому составить необходимые вам списки затрат.

Первая статья наконец завершена! Тяжело и может не особо интересно, но опыт всегда есть опыт, каким бы он ни был. Хочется (лично для себя) больше практической составляющей, но в данном случае таковой будет немного, потому что начинать с практики не имея теоретических знаний неправильно. Надеюсь, что данная статья принесла хоть кому-либо пользу и сподвигла вас на первый толчок в какой-либо области обучения.

Рассмотрена актуальная проблема защиты информации и персональных данных в информационных системах.

Ключевые слова: информация, информационная система, персональные данные, защита информации

Вследствие активного развития информационных технологий, огромную ценность на сегодняшний день представляет информация. Любая сфера общественной жизни может быть описана информацией, потеря или модернизация которой может привести к большим убыткам. Таким образом, информация становиться стратегическим ресурсом государства и бизнеса всех уровней, которые заинтересованы в её сохранности. Кроме естественных рисков потери информации (отказ техники, стихийные бедствия и т. д.), присутствует также стремление криминальных структур осуществить незаконной похищение или модернизацию информации. В свете сказанного проблема защиты информации является чрезвычайно актуальной на сегодняшний день.

Вопросам защиты информации на протяжении всей истории уделялось пристальное внимание для нормализации функционирования жизни общества. На сегодняшний день всё больше внимания уделяется безопасности информации, об этом свидетельствует разросшаяся за короткие сроки правовая база, и сопутствующие современные решения в области информационной безопасности. Но существует одна постоянная проблема: помимо развития методов защиты информации, совершенствуются или появляются новые методы хищения этой информации.

В силу технического прогресса все больше информации на предприятиях и в государственных учреждениях обрабатывается сегодня с использованием средств вычислительной техники. Для более удобной работы сотрудников: оперативного обмена, гибкой обработки и хранения информации строятся компьютерные сети. Как следствие, возникает проблема: защита обрабатываемой на средствах вычислительной техники (СВТ) и передаваемой по сети информации.

Защита информации внутри корпоративной сети является одной из основных задач, которые разрешаются при построении информационной безопасности на предприятии. Для её обеспечения необходимо разграничить доступ к информационным ресурсам между сотрудниками и предотвратить как несанкционированный доступ к данным изнутри корпоративной сети, так и извне.

При построении защиты используются программные решения в области информационной безопасности, которые позволяют настроить политику безопасности на предприятии, централизованно управлять процессами защит, интегрировать различные механизмы в единую систему и выделяют различные роли для администрирования защищаемой системы.

Существует множество способов осуществить атаку на корпоративную сеть предприятия. При функционировании информационной системы существуют сниженные до оптимального значения риски по утрате таких основных свойств информации как: целостность, конфиденциальность и доступность. При этом риски сохраняются независимо от эффективности использованной системы защиты.

Для осуществления защиты компьютерных сетей необходимо четко представлять, какие методы и средства защиты необходимо использовать. Упрощение выбора необходимых для решения конкретной задачи по ИБ методов или средств производится за счёт их классификации.

Нормативные акты помогают строить систему защиты информации внутри информационной системы на высоком уровне, облегчая анализ и выбор или разработку требуемых средств защиты, так как содержат наиболее оптимальные классификации возможных каналов утечки и атак. И имеют ряд рекомендаций по выбору наиболее оптимальной защиты для множества различных ситуаций.

Защита информации — деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [1].

При построении необходимого уровня защиты информации возникает ряд проблем, которые требуют применения методов анализа и специфических организационных методов и процедур по защите информации.

Приоритетными направлениями проводимых исследований и разработок в области информационной безопасности как у нас в стране, так и за рубежом являются [9,14]:

‒ защита от несанкционированных действий и разграничение доступа к данным в информационно-вычислительных системах коллективного пользования;

‒ идентификация и аутентификация пользователей и технических средств (в том числе и «цифровая» подпись);

‒ обеспечение в системах связи и передачи, данных защиты от появления дезинформации;

‒ создание технического системного программного обеспечения высокого уровня надёжности и использование стандартов (международных, национальных и корпоративных) по обеспечению безопасности данных

‒ защита информации в телекоммуникационных сетях;

‒ разработка правовых аспектов компьютерной безопасности.

Из выделенных приоритетных направлений развития информационной безопасности можно сделать вывод, что основная доля информации на предприятиях передаётся по сети и обрабатывается на централизованных серверах.

Основные проблемы защиты информации можно разделить на три группы:

‒ нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в корпоративной сети, может иметь высокую ценность для владельца. Её использование другими лицами наносит ущерб интересам владельца

‒ нарушение целостности информации. Потеря целостности информации (компрометация, дезинформация). Ценная информация может быть модифицирована или удалена.

‒ нарушение доступности информации. Вывод из строя или изменение режимов работы элементов компьютерной сети. Может привести к получению неверных результатов, отказу компьютерной сети от потока информации или отказам при обслуживании.

Защита информации внутри корпоративной сети является одной из основных задач, которые разрешаются при построении информационной безопасности на предприятии. Для этого необходимо разграничить доступ к информации между сотрудниками и предотвратить как несанкционированный доступ к данным изнутри корпоративной сети, так и извне [2].

‒ расширенная зона контроля — администратору по безопасности приходится контролировать действия пользователей, которые находятся вне зоны его досягаемости;

‒ неизвестный периметр — сеть организации по требованию легко расширяется, что ведёт к возникновению новых путей передачи данных, определить чёткие границы сети становится сложной задачей;

‒ сложность в управлении и контроле доступа к системе — многие атаки производятся без получения физического доступа к определенному узлу и из удалённого места. После такой атаки становится проблематично определить нарушителя;

‒ множество точек атаки — при передаче информации по сети, она проходит различные узлы, ПК, маршрутизаторы, модемы, коммутаторы, каждый из которых может являться угрозой по отношению к ней;

‒ использование различных программно-аппаратных комплексов защиты информации — при внедрении различных систем по защите информации, уязвимость системы в целом возрастает, возможно, появление новой бреши в безопасности, при несовместности параметров настройки систем;

‒ скрытые каналы утечки информации — возможна передача конфиденциальной информации предприятия по компьютерной сети злоумышленнику в зашифрованном виде или с использованием защищённого протокола передачи данных.

При передаче информации по сети она обрабатывается на каждом узле, согласно правилам указанном в протоколе передачи данных, также каждый узел (маршрутизатор, коммутатор, компьютер) представляет собой систему, в которой могут присутствовать различные правила обработки информации.

Таким образом, при передаче информации внутри компьютерной сети возникает двойственная проблема: с одной стороны — обеспечить безопасность информации в единой системе с едиными правилами обработки информации, с другой — проконтролировать целостность, конфиденциальность и доступность информации в совокупности отдельных систем с различными правилами её обработки.

Читайте также: